Úterý 1. prosince 2020, svátek má Iva
  • schránka
  • Přihlásit Můj účet
  • Úterý 1. prosince 2020 Iva

Dvacet let je v Linuxu díra, která pomohla ke „slavnému“ útoku na USA

aktualizováno  13:04
Svatý Martin (Od zpravodaje Technet.cz) - V roce 1996 začala první světová kyberválka. Proti USA ji tehdy nepozorovaně zahájila skupina dosud neznámých hackerů. Ze serverů Pentagonu, NASA a dalších vládních, energetických a informačních společností tajně stahovala data. Útočníci působí v éteru dodnes a chyba, kterou zneužili, je stále neopravená.

Dvě nejmocnější hackerské skupiny. Jedna žije z podpory NSA, druhá čerpá z Kremlu. | foto: Profimedia.cz

Nové poznatky z pátrání po původcích dvacet let starého kyberútoku „Moonlight Maze“ nejen na a USA a jejich možné spojení se současnou hackerskou skupinou Turla představili odborníci ze společnosti Kaspersky a britské univerzity King’s College na konferenci Security Analyst Summit 2017 (SAS 2017).

Vypadá to, že tehdy provedený útok je stále možný, protože příslušná zranitelnost dosud nebyla v Linuxu opravena. Nové důkazy napovídají, že hackeři skupiny Turla jsou ti samí, kteří útočili před dvaceti lety. Byli by tak nejdéle působící hackerskou skupinou na světě (vedle proslulých Equation Group).

Útok, který možná stále probíhá

Eugene Kaspersky osobně zahajuje Security Analyst Summit 2017.

Eugene Kaspersky osobně zahajuje Security Analyst Summit 2017.

Hackerská operace, dnes známá pod názvem Moonlight Maze, začala pravděpodobně už v roce 1996. Úplně přesně to určit nelze. Útočníci se tenkrát zaměřili na vládní, vědecké a vojenské organizace USA. Ze serverů vojenských a leteckých základen, vojenského výzkumného ústavu, některých univerzit a soukromých laboratoří, NASA, Pentagonu a dalších stahovala dodnes neznámá skupina hackerů například data o řízení vojenských systémů, smlouvách, kódovacích technikách, námořní komunikaci, vědeckých výzkumech a podobně. Nic z toho prý nebylo označeno jako „Top Secret“, přesto šlo o závažný únik citlivých informací. Vše se provalilo v roce 1998, kdy událost získala své jméno a vše začala vyšetřovat FBI. Vyšetřovatelé obratem zjistili, že stopy vedou do Ruska (ruské ISP).

První zmínka o útoku „Moonlight Maze“ v britských novinách (červenec 1999)

První zmínka o útoku „Moonlight Maze“ v britských novinách (červenec 1999)

Nikdo nebyl dopaden, nikdo potrestán. Některá zadní vrátka byla opravena, některá evidentně ne. Nejpřesněji to ví pouze FBI. A co je nejhorší, je možné, že útok stále skrytě pokračuje. Myslí si to například Thomas Rid z britské King’s College Department of War Studies, který se společně s Juanem Andrésem Guerrero-Saadem ze společnosti Kaspersky o dvacet let později pustili do vyšetřování neuzavřeného příběhu.

Stejná chyba. Stejný pachatel?

Uplynulo téměř 20 let. Píše se rok 2011 a hackeři napadli švýcarskou technologickou společnost RUAG. Za útokem podle všeho stála hackerská skupina Penquin Turla (někdy jen Turla - používá více různých názvů), která je podle odborníků napojena přímo na Kreml. Provádí kybernetickou špionáž pomocí takzvaných APT (Advanced Persistent Threat) útoků, které, jak už název napovídá, běží vytrvale (persistent), aby od napadeného bylo možno získat co nejvíce dat za co nejdelší období.

Juan Saade z Kaspersky Lab ukazuje na SAS 2017 podobnosti mezi útokem Moonlight...

Juan Saade z Kaspersky Lab ukazuje na SAS 2017 podobnosti mezi útokem Moonlight Maze a činností hackerské skupiny Penquin Turla.

Tyto útoky jsou pochopitelně finančně nesmírně náročné a má se obecně za to, že je všude po světě nějakým způsobem vždy „dotují“ konkrétní státy, respektive státní organizace. APT útoky jsou vlastně moderní verzí původní akce Moonlight Maze. Útočníci při nich využívají nejrůznějších technik včetně phishingu a cíleného „spear phishingu“, malwaru a sociotechnik, kdy si snaží získat důvěru vybraných lidí z organizace a přes jejich konta (např. e-mail) pak dovnitř dostat trojského koně (škodlivý software).

Výzkumníci z analytického oddělení Kaspersky Lab měli podezření na spojení mezi Moonlight Maze a aktuálními útoky skupiny Turla už delší dobu. Podařilo se jim z nich totiž izolovat vzorek kódu, který vypadá velmi podobně jako ten, který použili útočníci před dvaceti lety. Jen ho oprášili a mírně upravili. Důkaz to ovšem nebyl. K tomu by lidé z Kaspersky potřebovali prozkoumat původní vzorek z napadených serverů při útoku Moonlight Maze.

Tisková konference v rámci SAS 2017 na ostrově Svatý Martin. Zcela vlevo sedí...

Tisková konference v rámci SAS 2017 na ostrově Svatý Martin. Zcela vlevo sedí Juan Andrés Guerrero-Saade z Kaspersky Lab, vedle něj Thomas Rid, z britské King’s College Department of War Studies a u prostředního stolečku pak Vitalij Kamluk, také z Kaspersky Lab.

Juan Saade ho získal v roce 2016 z Velké Británie. Jeden ze správců sítě, který měl na starosti napadené servery, přes něž se útočníci dostávali k obsahu v institucích v USA (používali je jako proxy servery), měl infikovaný server HP9000 stále ještě pod svým stolem. Magnetickou pásku se zálohovanými záznamy o provozu (logy) pak měl uloženou u sebe v sejfu.

„Vždycky jsem tušil, že by to mohlo být jednou zajímavé,“ uvedl pro Wired dnes 69letý správce David Hedges. „Na pásku jsem zapomněl až do chvíli, než mi Thomas Rid zavolal.“

Server HP9000, ze kterého před téměř dvaceti lety proběhl útok později označený...

Server HP9000, ze kterého před téměř dvaceti lety proběhl útok později označený jako Moonlight Maze

Server s tehdy populárním unixovým operačním systémem Solaris obsahoval to, co pátrači potřebovali. Logy, které nastřádal, v sobě nesly i hledaný kus škodlivého kódu. FBI totiž už tehdy ve spolupráci s britskou policií provozovatele služby kontaktovala. Místo, aby špionáž ihned přerušila, začala sama útočníky šest měsíců špehovat. Díky tomu se následně podařilo útok z velké části zastavit a rozklíčovat. A proto máme dnes k dispozici ony cenné vzorky kódu. Za to, že nám po útoku zůstaly stopy, však mohou i samotní útočníci. Omylem infikovali i své vlastní počítače a „odposlechy“ provozu z nich se tím pádem také dostaly na onen britský server, který používali jako strategický bod celé sítě.

Ke všem důkazům o činnosti hackerů, která tehdy FBI měla, se však dnes nedá dostat. Většina byla přesně podle platných předpisů zničena. Zachovaný kus historického hardwaru je tak neocenitelným vodítkem.

Popis Moonlight Maze a jeho „opožděného“ zkoumání (Kaspersky, anglicky):

Jsou stále tady! Nejdéle působící hackeři na světě

Útočníci v Moonlight Maze využili opensourcový tunelovací program Loki2 zveřejněný roku 1996 a 1997 (používá například protokol ICMP). To víme například díky vzorkům ze starého britského serveru.

Útočníci využili tunelovacího prográmku Loki2. Ten umí ukrýt komunikaci mezi počítači, respektive ji zamaskovat tak, aby vypadala jako rutinní komunikace v rámci daného protokolu.

Když lidé z Kaspersky Lab nově prozkoumali také vzorky z útoku v roce 2014, zjistili, že hackeři ze skupiny Turla využili zranitelnosti v Linuxu založená na úplně stejné chybě s využitím modifikovaného Loki2. „Musíme si položit otázku,“ říká Juan Saade. „Jak je možné, že téměř dvě dekády stará zadní vrátka do systému lze stále otevřít i na moderních linuxových systémech?“ Trojský kůň založený na Loki2 byl přitom poprvé popsán v hackerském magazínu Phrack už v roce 1996.

„Když potřebuje Turla zaútočit na linuxové nebo unixové stroje, stačí tenhle prastarý kód oprášit a použít ho znova,“ dodává Saade. „To svědčí o nedostatku povědomí o závažnosti situace a možná i o troše arogance u některých správců linuxového systému. Je děsivé, že 20 let starý kód napojený na knihovny z let 1999 až 2004 stále funguje i na moderních strojích. Tohle na Windows nikdy neuvidíte,“ tvrdí odborník ze společnosti Kaspersky.

Turla si vzala ponaučení z rady v původním článku představujícím Loki2 a modifikovala kód tak, aby se nahrál přímo do operačního systému, konkrétně do komponenty ntpd (Network Time Protocol daemon).

Hackeři NSA umí doslova neuvěřitelné věci. Nakazí i cédéčko v poště

Možná pracují pro americkou agenturu NSA, možná ne. To nikdo přesně neví. Hackeři Equation Group umí třeba přepsat firmware pevných disků v počítači tak, že žádný antivirus neodhalí napadení. Infikovali počítače vládních organizací ve 42 zemích světa a nezastaví je ani počítače odpojené od internetu.

Nové důkazy a shrnutí Moonlight Maze uveřejnila společnost v rámci právě probíhající konferenci SAS 2017. PDF v angličtině si můžete stáhnout zde.

Na propojení mezi 20 let starým útokem a novými akcemi skupiny Turla neukazuje jen stejný škodlivý kód, ale i jazyk. Kaspersky zásadně přímo neidentifikuje špionážní skupiny, ale nepřímo spojení potvrzuje. „V kódu jsme našli rusky psané vsuvky, útoky jsou vedeny z ruských IP adres a spojení potvrzuje i stejné časové pásmo u jednotlivých logů,“ vysvětlil Saade novinářům na SAS 2017.

„Pokud máme pravdu, a já si myslím, že správný směr máme, pak nové útoky Turly a Moonlight Maze má na svědomí stejná skupina. To by ji řadilo do nejvyšší ligy, kterou zatím hraje pouze jediné uskupení hackerů - Equation Group,“ dodává Saade.

Obecně se má za to, že Equation Group patří k absolutní hackerské špičce, která dokáže třeba vyměnit cédéčko v odchyceném balíku odeslaném poštou (více v boxíku) a dosud jí nikdo nemohl konkurovat. Zatímco Equation Group je podle všeho podporován (nebo přímo řízen) z americké NSA, Turla pracuje v režii Kremlu.

Jak je to ve skutečnosti, se zřejmě nikdy s jistotou nedozvíme, jak říká Vitalij Kamluk z Kaspersky Lab: „Čím déle v oboru pracuji, tím jsem opatrnější. Vždy je nutné si klást otázku, proč jsem v kódu našel právě tento důkaz a ne jiný. Může být podvržený? Třeba útočník chtěl, abych ho našel? Hackeři často bojují pod falešnou vlajkou, aby svedli stopu k někomu jinému. Absolutní jistotu mít nikdy nemůžeme.“

Aktualizace: Článek jsme rozšířili a doplnili podrobnosti a obrazový materiál.

Autoři: ,
  • Nejčtenější

Tahák: 20 klávesových zkratek, o nichž jste možná neměli ani potuchy

Uživatelé Windows jistě znají notoricky známé klávesové zkratky jako Alt + F4, Alt + Tab, Windows + E, Windows + C,...

Promoření? Odvážný sen, tragické následky. Stádní imunita funguje jinak

Jak se nejlépe zbavit covidu-19? Už od jara mluvili někteří odborníci o kontroverzní strategii známé jako „promořování“...

Toto umí nově váš Chrome a Firefox. Loučí se s Flashem a jsou rychlejší

Populární internetové prohlížeče Chrome a Firefox byly povýšeny do nových verzí. Pokud jste je ještě neaktualizovali,...

U nás je zeleno, zašpiní se jinde. Pařížská dohoda ignoruje obří problém

Jedním z nejvýraznějších nedostatků Pařížské dohody o klimatu je fakt, že neřeší přesun emisí mezi státy. To, že si...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

TEST televizorů: Nevyznáte se v široké nabídce? Pomůže vám náš velký přehled

Premium Od 3 190 do 62 990 korun. Všechny zobrazovací technologie, všechny televizní operační systémy a jedenáct vybraných...

TEST televizorů: Nevyznáte se v široké nabídce? Pomůže vám náš velký přehled

Premium Od 3 190 do 62 990 korun. Všechny zobrazovací technologie, všechny televizní operační systémy a jedenáct vybraných...

Jak vydržet v ledové vodě? Finta je jednoduchá, popisují otužilci

Premium Klepat se zimou tak, že si nedokážete zavázat ani tkaničky u bot, a přitom se tomu smát? I to dokáže koupání v ledové...

Manažer postavil srub uprostřed chráněné oblasti. Tvrdí, že to je posed

Premium Nejprve tvrdil lidem, že je to seník. Když se o jeho stavbu začaly zajímat úřady, prezentoval ji jako posed. Ve...

  • Další z rubriky

Kdo vás platí, bude se ptát Instagram svých celebrit v Británii

Sociální síť Instagram provozovaná Facebookem v Británii přistoupila na změnu podmínek, jimiž své vlivné uživatele...

Facebook v boji proti dezinformacím prodlouží zákaz politické reklamy

Facebook se rozhodl i nadále neposkytovat reklamní prostor pro politická sdělení týkající se amerických voleb. Důvodem...

Seznamku Lidé.cz čeká vypnutí. Důvodem jsou i sexuální predátoři

Provozovatel seznamovacího portálu Lidé.cz se rozhodl během měsíce ukončit fungování této služby, která byla na...

Co je za znakem červeného blesku, který se šíří po sociálních sítích

Nejen na sociálních sítích můžete v posledních dnech vidět znak červeného blesku. Vzbuzuje kontroverzi. Někteří lidé v...

Svůj nový vztah jsem radši šla ohlásit řediteli, říká zamilovaná Witowská

Premium Její život se letos pořádně otočil. Možná ještě víc, než když předloni bravurně zvládla prezidentskou debatu. Aby měla...

Kapitán je na tahu, bude šach mat, oznámil po líbánkách Pavel své ženě

Psycholožka, terapeut a genetička vybrali na základě testů i DNA mezi více než patnácti sty přihlášenými jednotlivci...

Bahamské úřady zveřejnily příčinu smrti Seana Conneryho

Bahamské úřady zveřejnily oficiální pitevní zprávu k úmrtí herce Seana Conneryho. První a nejdéle sloužící James Bond...

Promoření? Odvážný sen, tragické následky. Stádní imunita funguje jinak

Jak se nejlépe zbavit covidu-19? Už od jara mluvili někteří odborníci o kontroverzní strategii známé jako „promořování“...

Mívám silné sny. A přání se mi plní, říká MOgirl Ria

Chtěla být ajťačkou a díky úsilí si onu profesi i osvojila. „Pak jsem měla ještě malý, druhý sen stát před objektivem...